Cyber Threat Intelligence Communities ft. Thomas Geras
Robert1: Herzlich willkommen auch aus der unangekündigten Sommerpause der Interviewfolgen von Breach.fm.
Robert1: Auch hier hatte ich gesagt, wir powern den Sommer durch und dann ist mir aufgefallen,
Robert1: dass ich darauf gar nicht so Lust hatte und es auch manchmal organisatorisch
Robert1: gar nicht so einfach ist.
Robert1: Mit meinem heutigen Gast zum Beispiel, wir hatten jetzt einige Versuche.
Robert1: Ich musste auch auf Schande auf mein Haupt ständig absagen. Also von dem her
Robert1: freut es mich umso mehr, dass es heute funktioniert hat. Er wird sich auch gleich vorstellen.
Robert1: Wir werden auch darauf eingehen, über was wir heute sprechen.
Robert1: Es gab auch ein, zweimal so die Rückfragen mit, wie schaut es jetzt eigentlich formatmäßig aus?
Robert1: Gibt es weiterhin diese Gespräche? Ja, sie wird es weiterhin geben.
Robert1: Aber wie ich glaube ich alle zwei, drei Folgen sage, ich will,
Robert1: wenn ich diese Gespräche führe, auch wirklich A,
Robert1: Gespräche führen, die mich selbst interessieren und das ist manchmal einfach
Robert1: nicht gegeben und B, ich will nicht und das ist jetzt nicht despektierlich in
Robert1: Richtung irgendeines CISOs gemeint, aber die 18.
Robert1: Diskussion führen, was ein CISO von 2024 können muss und was nicht.
Robert1: Ich glaube, das wird auch in diesem Podcast schon ein paar Mal gemacht.
Robert1: Von dem her, diese Folge heute würde ich eher mal unter das ganze Thema nischig einordnen.
Robert1: Ist sicherlich nicht etwas, bei dem jetzt 99 Prozent der Hörer sagen werden,
Robert1: wow, das ist jetzt für meinen Arbeitsalltag unglaublich wichtig und unglaublich relevant.
Robert1: Ich finde es aber umso relevanter, genau dann über diese Themen mal ein bisschen
Robert1: nachzudenken und auch so ein bisschen, selbst wenn es mich nicht jeden Tag selbst
Robert1: trifft, mal so ein bisschen nachzudenken.
Robert1: Zu schauen, was gibt es denn da noch und wie funktioniert eigentlich dieses
Robert1: ganze komplexe System Cyber Security weltweit.
Robert1: Deswegen, wir werden heute, ich tease es schon mal kurz an, über Cyber Threat
Robert1: Intelligence Sharing Gruppen reden.
Robert1: Das ist ein Vortrag, der wurde mir empfohlen von meinen japanischen Kollegen,
Robert1: den gab es nämlich dieses Jahr auf der FIRST. in, mein Gast kann ohne sich vorzustellen
Robert1: schon mal kurz sagen, wo es genau war in Japan, ich weiß es nämlich nicht mehr.
Es war in Fukuoka.
Robert1: In Fukuoka, genau. Ich wollte auch da sein, ich war aber in der Woche drauf
Robert1: schon in Japan und ich würde mal sagen, politisch familiär war es nicht zu vereinbaren,
Robert1: zwei Wochen weg zu sein, deswegen, dieser Vortrag wurde mir aber sehr empfohlen,
Robert1: und deswegen habe ich mir gedacht,
Robert1: ich schreibe den Vortragenden doch einfach mal an und ja, der liebe Thomas Thomas
Robert1: ist heute hier und du kannst dich einfach mal selbst vorstellen und auch schon
Robert1: mal kurz anteasern, über was wir genau heute sprechen werden.
Ja, danke für die Einladung. Ich freue mich, dass das Thema auch gut ankommt,
weil genau das war der Grund, Licht ins Dunkle zu bringen über diese Communities.
Ja, ich bin Thomas Geras. Ich bin Doktorand im Bereich der Cyberflight Intelligence
und ich bin Teil der Forschungsgruppe von Thomas Schreck, dem SecLab oder Security
Lab an der Hochschule München.
Und mein Forschungsbereich ist Cyber Threat Intelligence und hier spezifisch die Qualität davon.
Genau, und das Thema Sharing Communities habe ich innerhalb meiner Forschung betrieben.
Das heißt, ja, wie soll ich ausschleifen hier bei dem Thema jetzt schon?
Robert1: Lass uns doch erstmal anfangen und nochmal kurz beleuchten, was das ganze Thema
Robert1: Threat Intel überhaupt ist, weil ich da immer wieder merke, dass das sehr kurz
Robert1: gefasst ist und im Grunde genommen ganz oft das letzte Stück in der Kette besprochen
Robert1: wird und zwar irgendein IOC,
Robert1: eine maliziöse IP-Adresse, ein Hash-Wert oder sonstiges.
Robert1: Aber was ist Threat Intelligence als Ganzes überhaupt?
Okay, dann mache ich einfach weiter mit der Qualität. Genau,
weshalb ich in dem Bereich forsche, ist, dass ich Teil eines Forschungsprojekts
bin, das sich um das Reifegradmodell für Datenqualität im Bereich CTI und IAM,
also Identity Access Management, kümmert.
Und ich bin Part des Teilprojekts, das sich auf CTI fokussiert.
Genau, viele werden den Begriff CTI nicht kennen.
CTI, also wir benutzen oft in unserer Forschung die Definition von NIST,
dem National Institute for Standards and Technology aus den USA.
Und NIST sagt, dass CTI Bedrohungsinformationen sind, die man aggregiert,
transformiert, analysiert, interpretiert und enriched.
Für den notwendigen Kontext für die Entscheidung am Ende.
Und das ist ziemlich abstrakt für viele, die damit nichts zu tun haben.
Also im Endeffekt sind Bedrohungsinformationen, ja, es gibt unterschiedliche Einstufungen.
Man könnte von der taktischen Ebene anfangen.
Taktisch sind das Indikatoren of Compromise oder Indicator of Compromise.
Und hier haben wir IP-Adressen, Hash-Values, Domain-Names. Also Sachen,
die von Angreifern relativ leicht geändert werden können.
Da gibt es auch in dem Bezug die Pyramid of Pain.
Das heißt, das sind Sachen, die sind eher im unteren Bereich der Pyramide,
weil die durch Angreifergruppen schnell verändert werden können.
Dann haben wir operationale CTI, das ist zum Beispiel die Attribution.
Das heißt, wer war es am Ende? Das machen häufig Geheimdienste,
also Entitäten, die genug Informationen haben, um so eine Attribution zu machen.
Operational sind aber auch die Fähigkeiten und Absichten von Bedrohungsakteuren.
Und an der Spitze haben wir eine strategische CTI.
Das sind High-Level-Informationen für strategische Geschäftsausrichtungen zum Beispiel.
Und ja, die Einteilung zum Beispiel von der Pyramid of Pain,
die ist deswegen so wichtig, weil wenn man Sachen aus dem unteren Bereich hat als Unternehmen,
kann man da zwar schnell agieren und blockieren, aber langfristig ist es so, dass man mehr möchte.
Man möchte Taktiken, Techniken oder Verfahren, weil wenn man die kennt von Angreifergruppen,
kann man langfristig auch diese disruptieren, weil das ist viel schwieriger
für Angreifer, das zu verändern.
Robert1: Genau, und diese Betrachtung ist natürlich auch unglaublich notwendig.
Robert1: Wir hatten das in einer Folge mit der Kerstin Zettel-Schabbat beispielsweise,
Robert1: da ging es beispielsweise auch darum, wie dieser ganze Sektor staatliche Angreifergruppen
Robert1: mit zum Beispiel Proxygruppen mittlerweile agiert.
Robert1: Das heißt, es ist für viele Unternehmen gar nicht mehr so einfach zu sagen,
Robert1: wer greift mich denn überhaupt aus welcher Intention an.
Robert1: Diese Betrachtung ist natürlich auch deswegen wichtig, weil ich ganz oft zum
Robert1: Beispiel Teil einer Supply Chain bin und vielleicht will jemand gar nicht persönlich
Robert1: mich angreifen, aber sieht mich als schwächstes Glied in der Kette,
Robert1: um dann vielleicht jemand anders anzugreifen.
Robert1: Also diese Betrachtung CTI ist eine deutlich größere, wie du schon gesagt hast,
Robert1: als einfach nur eine IP-Adresse, die sehr, sehr kurzlebig ist.
Robert1: Jetzt muss man vielleicht noch dazu sagen, da wo ihr am häufigsten das Thema
Robert1: Threat Intel seht, ist eigentlich das, was eure Cybertechnologien im Grunde genommen konsumieren.
Robert1: Also einfach nur in einem EDR, einem XDR Daten zu sammeln ist das eine,
Robert1: aber es muss ja auch gegen irgendwas gematcht werden. Und auch da betrachten
Robert1: wir die verschiedensten Dinge.
Robert1: Wir betrachten Taktiken, wir betrachten wirklich dieses ganze Thema TTP,
Robert1: aber natürlich empfängt so ein Produkt auch wirklich IOCs.
Robert1: Also wenn ich eine maliziöse IP-Adresse oder irgendwie ein Hash-Wert beispielsweise
Robert1: oder vielleicht dann auch ein Verhalten wiederum von einer bestimmten Malware
Robert1: habe, dann muss das irgendwie konsumiert werden.
Robert1: Und meistens geschieht das für euch eher intransparent, weil das Produkt eben
Robert1: seine eigene Thread-Intel des Herstellers mitbringt.
Robert1: Abseits dessen habe ich noch die Möglichkeit, mir selbst zum Beispiel irgendwelche
Robert1: kommerziellen Feeds anzubinden, für die ich dann Geld bezahle.
Robert1: Das kann zum Beispiel Sinn machen, wenn ich beispielsweise in irgendeiner bestimmten
Robert1: Branche unterwegs bin, wo es vielleicht nochmal branchenspezifische IOCs gibt.
Robert1: Jetzt gibt es aber, und das geht in dein Thema, auch Sharing-Gruppen,
Robert1: also verschiedene Arten von Closed bis Public.
Robert1: Und wieso gibt es die, also welchen Zweck erfüllt es, wenn ich jetzt,
Robert1: ich sag mal, als CISO von einer mittelständischen Firma sage,
Robert1: naja, ich habe ja eigentlich eh schon die Thread Intel, die mein Produkt konsumiert.
Robert1: Also wieso noch diesen Aufbau Sharing-Gruppen und was sind diese Sharing-Gruppen im Grunde genommen?
Also der Vorteil ist auf jeden Fall der, dass wenn man halt konsumiert und dafür
zahlt, muss man erstmal was bezahlen.
Das ist natürlich ein großer Kostenfaktor für viele Unternehmen,
die sich auch viele Unternehmen einfach nicht leisten können.
Ein weiterer Faktor ist natürlich auch, dass umso kleiner die Community,
umso spezifischer sind die Informationen auf jemanden zugeschnitten zum Teil.
Und das ist viel schwieriger zu erreichen, wenn man ein Produkt kauft,
weil dann ist es eher auf die breite Masse der Kunden zugeschnitten und nicht
auf jemanden spezifisch.
Und wenn ich jetzt Teil einer kleinen Sharing-Community bin,
dann ist es vielleicht von jemandem, der mich kennt und das dann spezifisch
mit mir teilt, weil er weiß, ich habe dieses Unternehmen und habe diese Rahmenbedingungen.
Und das ist auf jeden Fall schon mal ein Faktor, der für Sharing-Communities spricht.
Zusätzlich kommt natürlich auch dieser ganze gemeinnützige Aspekt,
den man auch betrachten muss, dass da Leute sind, die sich aushelfen.
Da können wir auch später nochmal über den Benefits drüber sprechen.
Genau, aber es sind so die Faktoren, die, glaube ich, am Anfang erstmal überwiegend sind.
Einmal, dass man spezifische CTI bekommen kann, dafür nicht zahlen muss und
ja, der gemeinnützige Aspekt ist natürlich auch toll.
Robert1: Ja, also dieses Thema Kosten. Ich habe so das Gefühl, das ist gar nicht mehr so super wichtig.
Robert1: Klar, wenn ich mir jetzt zum Beispiel irgendwo ein Open Source CM aufbaue in
Robert1: meiner Firma, dann auch da brauche ich irgendwo Thread Intel.
Robert1: Das sehe ich noch so am häufigsten, dass eben offene Communities dann eben verwendet
Robert1: werden. Also irgendwelche, wir können ja auch noch mal so über die technische
Robert1: Komponente irgendwann sprechen, also irgendwelche Projekte, die zum Beispiel
Robert1: auf irgendeiner Open-City-IMED aufbauen und so weiter.
Robert1: Also da wird schon einiges auch genutzt. Wie gesagt, trotzdem haben eigentlich
Robert1: alle Unternehmen, die ich kenne, Produkte, die eben konsumieren.
Robert1: Dieses, was ich sehr interessant finde, ist wirklich spezifische Sharing-Gruppen.
Robert1: Also ich gehe beispielsweise in den Finanzsektor, da weiß ich selbst,
Robert1: da gibt es einige geschlossene Gruppen, in denen es auch gar nicht so einfach ist, da reinzukommen.
Robert1: Also ich kann jetzt nicht einfach sagen, ich bin hier die Sparkasse um die Ecke,
Robert1: um es mal ganz plakativ zu sagen, ich will hier mal in irgendeine Sharing-Community,
Robert1: sondern da gibt es teilweise auch ziemlich hohe Anforderungen und dann gibt
Robert1: es auch so halboffene Industriezweige, wo eben auch gesagt wird,
Robert1: Automobilindustrie gibt es einige dieser Projekte.
Robert1: Und teilweise gibt es, glaube ich, auch unter der Hand, was ich eben auch schon gesehen habe,
Robert1: dass sich beispielsweise Socks von einigen größeren Firmen auch einfach auf
Robert1: so einer halb privaten Ebene austauschen und eben sagen, ey,
Robert1: es wird Sinn machen, wenn wir hier mal zeitkritisch IOCs austauschen.
Robert1: Da geht es dann oft eher um die Zeitkritikalität als um, glaube ich,
Robert1: die branchenspezifische Dinge.
Robert1: Ist es soweit, was ich auch so für Beobachtungen gemacht habe?
Robert1: Deckt sich das auch mit deinem Research?
Auf jeden Fall. Also genau das sind auch so die Aspekte, die wir in unserer
Publikation beschreiben.
Also es ist da wirklich unterschiedliche Art von Communities gibt mit unterschiedlichen Zielen.
Wir können ja auch mal kurz von oben nach unten durcharbeiten.
Die Frage stellt sich natürlich, was ist erstmal eine Sharing-Community?
Und das ist ein Kollektiv von Organisationen und Einzelpersonen.
Und diese Communities, die zeichnen sich dadurch aus, dass man sich gegenseitig
unterstützt, Ressourcen teilt, Fachwissen, aber auch vor allem Daten oder im Idealfall CTI.
Und ja, prominente Beispiele sind die FIRST, das Forum of Incidents,
Response and Security Teams, oder FSISAC, welches das Finance Sector ISAC ist.
Oder auch im deutschen Raum haben
wir die CSSA, was eine Vereinigung von deutschen DAX-Unternehmen ist.
Dass genau in diese Communities, die tauschen Informationen aus.
Und wir waren halt, wieso wir diese Studie gemacht haben, kam eigentlich aus
einem reinen Interesse von mir, weil mein Mentor, mein Doktorvater, Thomas Schreck,
der war lange im First Gremium, im Board. Der hat auch das Board geleitet.
Und er hat öfter mal Geschichten darüber erzählt. Und ich fand die Grundidee,
dass man sich da gegenseitig hilft, Also so wie in so einem Forum,
wo man im Internet Fragen stellen kann.
Nur im Bereich der Cyber Security mega spannend.
Und habe halt meine Recherche angefangen und habe halt festgestellt,
dass es eigentlich dazu nichts gibt. Also kaum Informationen in der Forschung.
Ja, und da habe ich es ihm vorgeschlagen, ob man da nicht etwas machen könnte,
ob man das mal untersuchen könnte. Das Problem war natürlich,
dass ich im Bereich der Qualität forsche.
Aber um überhaupt zu verstehen, wie Praktiker die Qualität bewerten,
war es natürlich auch grundlegend, erstmal zu verstehen, wie arbeiten diese
Communities miteinander.
Und so haben wir halt, wie wird beides zu verbinden. Das heißt,
wir haben untersucht, wie diese Communities arbeiten, um die Grundlage zu schaffen,
wie die Qualitätsbewertung aus der Sicht von Praktikern in Sharing Communities durchgeführt wird.
Und genau, das war so der Ansatzpunkt für unsere Forschung und ja,
wir haben halt innerhalb der wir haben Interviews geführt.
Mit 25 Experten weltweit und diese kamen durch Kontakt durch Thomas Schreck,
der hat natürlich durch die First ein großes Netzwerk und unsere Voraussetzung
war, dass es halt Mitglieder sind, die auch in unterschiedlichen Arten von Shared
Comedies sind und dass sie auch Erfahrung haben mit der Qualitätsbewertung von CTI,
sodass wir beide Themenblöcke abarbeiten können innerhalb der Interviews.
Und ja, die Experten waren sehr erfahren.
Wir hatten viele, die waren über 20 Jahre schon im CTI-Business.
Manche waren schon dabei, als die ersten Communities gegründet worden sind und
haben 35 Jahre Berufserfahrung.
Das heißt, unser Sample war sehr erfahren und sehr wissend, was natürlich auch
die Qualität unserer erhobenen Daten erhöht hat.
Und wir haben halt in diesen Interviews festgestellt, dass man diese Organisationsstrukturen
von Share-Inquiries halt einordnen
kann in die unterschiedlichen Typen von Communities, der Member-Struktur,
den Rollen, die die Mitglieder der Communities halt annehmen,
den Communities genau, und der Art der Kollaboration, also welche Tools werden
verwendet, wie wird kommuniziert, wie wird ausgetauscht.
Und zusätzlich haben wir festgestellt, dass es halt auch Faktoren gibt,
die diese vier Elemente, die ich gerade beschrieben habe, auch beeinflussen.
Also zum Beispiel die Community-Größe, die beeinflusst natürlich auch die Art
der Community oder wie die Member-Struktur ist.
Oder auch die Reife der Mitglieder. Die hat auch einen wesentlichen Einfluss
auf zum Beispiel, wie wird kollaboriert, wie wird ausgetauscht,
welche Kommunikationswege werden verwendet.
Das heißt, wenn eine Community wächst, verändert sich auch die Struktur.
Robert1: Ich würde gleich gerne dann mal zum Beispiel die Rollen sprechen,
Robert1: weil da ja teilweise auch wirklich soziale Dinge mit dranhängen.
Robert1: Gibt es aber eurer Meinung nach so einen Goldstandard, wie so eine Community zu funktionieren hat?
Robert1: Oder sagt man wirklich, das ist sehr situativ und das muss eben für eine bestimmte
Robert1: Community funktionieren?
Robert1: Oder sagt man, ey, da gibt es halt einfach mittlerweile gewisse Regeln oder
Robert1: unausgesprochene Regeln und es gibt diesen Goldstandard, wie eine Community
Robert1: aufgebaut ist und wie die Leute darin agieren?
Nee, das ist, glaube ich, das, was wir auch festgestellt haben,
dass es da keinen Goldstandard gibt.
Das heißt, oft weiß man nicht, wer die Mitglieder sind in den Communities.
Natürlich, umso größer, umso schwerer ist es zu wissen.
Es gibt, glaube ich, keine festgeschriebenen, festgenannten Rollen.
Das heißt, es war implizit, dass wir das erhoben haben.
Das heißt, da fehlt so eine gewisse Art von Struktur, dass man das halt festlegt,
welche Rollen möchte man, wen nimmt man auf, auf Grundlage dieser Entscheidung.
Und das wird auch natürlich den Mitgliedern das Ganze vereinfachen.
Da könnte man auch die Communities suchen, die den eigenen Werten und Zielen entsprechen.
Aber es wird auch den Communities helfen, die Mitglieder zu finden,
die am gemeinsamen Ziel mithelfen und auch den Input bringen,
der vielleicht noch fehlt in der Community.
Das heißt, wir haben festgestellt, es gibt gewisse Rollen.
Das kam aus den Interviews heraus, aber nicht, dass das in den Communities fest ist, diese Rollen.
Robert1: Ich hatte vor Jahren mal eine Diskussion mit jemandem, der auch Teil einer Community war.
Robert1: Das war eine relativ branchenspezifische Community, die auch extrem klein gehalten war.
Robert1: Also da gab es wirklich nur im Grunde genommen ein paar große Wirtschaftsunternehmen,
Robert1: die da Teil dieser Community waren und das war sehr, sehr klein.
Robert1: Er hat sich auch mal so ein bisschen beschwert, dass das ganze Konstrukt sehr klein ist.
Robert1: Auf der anderen Seite hat er mir dann aber auch gesagt, dass sie im Grunde genommen
Robert1: fast jede Art der Bewerbung derzeit fast ablehnen, in diese Community zu kommen,
Robert1: weil das seiner Aussage nach, ist jetzt ein paar Jahre her, vorrangig Members
Robert1: wären, die nur konsumieren würden, denen sie aber technologisch und auch was
Robert1: ihre Capabilities angeht, gar nicht zutrauen,
Robert1: auch wirklich irgendeine Contribution leisten zu können.
Robert1: Also die haben ganz klar gesagt, die werden da niemals irgendwas Relevantes
Robert1: an IOC oder TTP oder sonst was erkennen.
Robert1: Die wollen im Grunde genommen hier nur konsumieren.
Robert1: Ich habe dann auch gefragt, naja,
Robert1: aber es gibt ja bei euch auch sowas wie Branchenverbände und so weiter.
Robert1: Ist es nicht in eurem Interesse, dass ihr die Gesamtbranche auch sicherer macht?
Robert1: Und ihr habt ja die Findings eh.
Robert1: Also wieso nicht branchengleichen Unternehmen zumindest mitgeben?
Robert1: Und dann hat er, und das war ganz interessant, eben auch gesagt,
Robert1: naja, das, was wir hier machen, ist gar nicht so wirklich Offizielles,
Robert1: das ist von keinem Branchenverband oder sonst irgendwas,
Robert1: sondern das haben sich im Grunde genommen damals drei Socks ausgedacht,
Robert1: die auf einem Stammtisch waren und so ist das Ganze zustande gekommen und ich
Robert1: habe damals schon gemerkt, da gab es so ein gewisses Spannungsfeld zwischen,
Robert1: man wollte das relativ elitär halten.
Robert1: Und andererseits hat man sich aber auch immer darüber ausgelassen,
Robert1: wie schlecht die Security in anderen Unternehmen der Branche ist,
Robert1: wo ich mir gedacht habe, naja, das ist gerade irgendwie so ein bisschen konträr.
Robert1: Hast du diese Dinge auch gesehen? Weil das, was ich jetzt gesehen habe,
Robert1: das ist A, ein Einzelfall und B, ist Jahre her.
Ja, also ich habe letztes Jahr ja mit den Personen drüber gesprochen und genau
das Gleiche habe ich eigentlich auch wahrgenommen.
Es ist natürlich ein Graubereich, Informationen zu teilen.
Man muss immer so sehen, es ist ein Aktienunternehmen und wenn man da irgendwas
melden würde, dass jetzt ein Breach stattgefunden hat und es mit anderen Unternehmen
teilt, könnte es natürlich den Aktienkurs oder was auch immer jetzt beschädigen oder die Reputation.
Das heißt, das Teilen an sich ist oftmals so unter dem Radar.
Unter unterschiedlichen Security-Analysten oder Worker wird es gemacht.
Nicht immer ist es halt auch erlaubt. Also ich habe auch von Leuten gehört,
die gesagt haben, ja, sie machen das aufs eigene Risiko, weil sie befreundeten
Kollegen helfen wollen oder halt in anderen Unternehmen helfen wollen.
Das ist ein Graubereich, klar.
Klar, gerade hier in Europa haben wir das GDPR-Datenschutz und so weiter.
Das heißt, was man teilen darf, ist sehr streng. Manche dürfen gar nicht teilen.
Das macht es auch schwierig für
gewisse Unternehmen, aktiv Teil einer Community zu sein und was zu geben.
Ich will jetzt keinen offiziellen Namen nennen von Unternehmen,
aber auch größere Unternehmen, die bieten dann zum Beispiel nur Best Practices
an, statt Daten an sich, weil sie meinen dann, sie geben was zurück,
indem sie deren Verfahren teilen, aber nicht explizit Informationen,
die vielleicht Rückschluss auf das eigene Unternehmen bieten könnten.
Robert1: Ja, es ist halt natürlich auch ein Spannungsfeld, besonders wenn man sich Branchen anschaut.
Robert1: Ein kleiner Automobilzulieferer wird nicht die gleichen Capabilities im Bereich
Robert1: Threat Hunting haben, wie ein ganz großer OEM.
Robert1: Also die Kleinen haben im Normalfall keinen Sock oder sowas,
Robert1: sondern die verlassen sich im Zweifel dann vielleicht auf einen Managed Sock
Robert1: oder sowas im Hintergrund oder noch weniger.
Robert1: Und das Gleiche sieht man auch in der Finanzbranche. Man denkt natürlich immer
Robert1: schnell an sowas wie eine Deutsche Bank oder so,
Robert1: vergisst aber, wie unglaublich viele kleine Finanzinstitute es dann halt auch gibt,
Robert1: die bei Weipen, also die könnten da vielleicht schon mal was reinspeisen,
Robert1: aber ich glaube, das ist dann eher auf einem Level, in dem es gesamtheitlich
Robert1: gesehen wahrscheinlich gar nicht so interessant ist,
Robert1: sondern das sind dann eher irgendwelche niedrigschwelligen IOCs,
Robert1: die wahrscheinlich eh in der allgemeinen Thread Intel von dem kommerziellen
Robert1: Anbieter so oder so schon aufgetaucht.
Robert1: Aber zu diesen Rollen nochmal, die du auch genannt hast, die wir gerade schon
Robert1: so ein bisschen impliziert haben rundum, da konsumiert vielleicht jemand nur.
Robert1: Was sind denn so die Rollen, die ihr festgestellt habt, auch wenn es keine offiziellen Rollen sind?
Genau, ich glaube, du hast auch schon so ein bisschen angefangen,
darüber zu sprechen, indem du gesagt hast, manche konsumieren nur.
Und genau, es gibt halt natürlich den Produzenten. Das ist jemand,
der die Daten erhebt und auch teilt, weil es ist halt der Producer oder die Source von CTI.
Dann haben wir den Konsumenten an sich. Das ist jemand, der konsumiert ist,
gibt aber auch Feedback in der Community zurück oder sagt, er hat hier was gesehen
und teilt diese Information weiterhin und agiert auch aktiv in der Community.
Dann haben wir jemanden im Unternehmen, in der Regel, der das Sharing enabled,
das heißt eine Führungskraft oder jemanden, der sich dafür ausspricht,
dass das auch aktiv gemacht wird, dass man da auch zurückteilt,
was zurückgibt in die Community.
Wir haben den Broker oder den Proxy, das ist eine Art Mittelsmann für Unternehmen,
die vielleicht nicht direkt miteinander kommunizieren aus bestimmten Gründen
oder ist auch jemand, der Daten anonymisiert.
Das heißt, der Proxy bekommt es, soll es aber so teilen, dass es halt nicht
Rückschlüsse auf das Unternehmen zurückgibt und teilt es dann weiter mit Entitäten,
die er kennt, wo er weiß, es könnte helfen.
Dann haben wir den Host in der Shared Community und das ist in der Regel jemand,
der organisiert das Ganze, der hat die regulären Meetings auf dem Schirm,
organisiert auch vielleicht irgendwelche Events, wie jetzt das Event in Fukuoka.
Das trägt dazu bei, dass halt auch Vertrauen aufgebaut wird,
dass Best Practices geteilt werden, dass generell jeder in der Community auch
mit der Community wächst.
Und wir haben ja, den Lurker, den Leecher, das ist jemand, der eine Art von
Konsument ist, allerdings nur konsumiert. Das heißt, diese.
Und Mitglieder, die haben halt ja nur sich im Blick, was halt ein Problem ist,
gerade in so Community, wo der Community-Gedanke stark ist.
Und wir haben halt auch festgestellt, dass zu viele von den Lurkern und Leachern
auch dazu beitragen, dass halt eine Community ja abstirbt.
Also sie wird langsam, langsam, langsam verkümmern, weil umso mehr von den Lurkern
da sind, umso weniger wollen die aktiven Leute teilen.
Machen dann einfach folgendes, fangen dann an, unter sich zu teilen.
Alle Aktiven finden sich zusammen, bilden vielleicht eine neue Community.
Das heißt, das ist auch zum einen schlecht für die Community,
aber auch natürlich schlecht für die Lurker und Leacher.
Allerdings muss man auch sagen, dass je nach Reifegrad der Unternehmen oder
des Analysten oder was auch immer, jeder als Lurker und Leacher beginnt.
Also man schaut erstmal, man guckt, was passiert da, was wird geteilt.
Natürlich ist auch die Sorge, was falsch zu machen da.
Teile ich jetzt, mache ich es falsch und dann ist man eher beobachtend am Anfang.
Aber wichtig ist, dass man sich daraus entwickelt und dann irgendwann auch aktiv
Konsument wird und das auch versteht. Ich glaube auch gerade dieses Wissen ist
einfach nicht vorhanden bei vielen.
Man ist neu in der Community oder generell in diesem Thema Sharing Communities.
Man merkt, man bekommt was. Man muss erstmal damit überhaupt anfangen umzugehen.
Es ist relativ viel am Anfang. fahren.
Man muss da erst mal durchsteigen und ja, das allein zu wissen,
dass es diese unterschiedlichen Rollen gibt und dass es auch Nachteile von spezifischen
Rollen wie dem Lurker und Leecher gibt, ich glaube, das ist auch,
Super wichtig für die einzelnen Personen im Cybersecurity-Umfeld.
Robert1: Ihr habt ja auch so ein bisschen dieses ganze Thema Vertrauen und Subgruppenbildung,
Robert1: was du ja gerade auch schon mal so ein bisschen angesprochen hast,
Robert1: beziehungsweise du hast ja eher von so einer Abspaltung geredet.
Robert1: Das ist auch das, was ich schon gesehen habe.
Robert1: Es war am Anfang eine relativ große Community, der eigentliche aktive Austausch
Robert1: hat aber eigentlich nur durch ein paar Mitglieder stattgefunden und auf einmal
Robert1: waren die dann nicht mehr Teil der Community oder waren mehr oder weniger tot und haben ihr eigenes,
Robert1: ihre eigene Community dahinter nochmal gebildet.
Robert1: Jetzt gibt es aber laut eures Papers eben auch so Themen rund um das Vertrauen
Robert1: und Subgruppenbildung,
Robert1: also beispielsweise wahrscheinlich eine größere Community mit dann einem sogenannten
Robert1: Circle of Trust, wo man dann sagt, das ist eine Subgruppe, wo dann vertraulichere
Robert1: Informationen vielleicht nochmal ausgetauscht werden.
Robert1: Was kannst du dazu erzählen?
Ja, grundsätzlich kann man die Shared Communities, die es gibt,
in unterschiedliche Gruppen einteilen.
Also wir haben offene Communities, wir haben geschlossene Communities,
wir haben weniger formelle Gruppen.
Also offene Communities sind beispielsweise ein Slack-Channel,
wo sich gewisse Personen austauschen.
Da kann jeder beitreten, sofern er über diese Community erfährt.
Da gibt es keine großen Eintrittsregeln.
Im Gegensatz dazu gibt es die geschlossenen Communities und das sind Gruppen,
wo es halt strikte Eintrittsregeln gibt, vielleicht auch eine Gebühr notwendig
ist, wie jetzt bei FSISAC oder der FIRST.
Die variiert natürlich und ist je nach Community eher moderat oder auch sehr hoch.
Das heißt, auch nicht jeder kann sich den Beitritt überhaupt leisten in so eine
spezifische Community.
Und genau, wir haben die offenen, wir haben die geschlossen und wir haben festgestellt,
es gibt auch spezifische für einen Incident erstellten Gruppen,
das ist so eine Art Taskforce,
Und die wird von eher Leuten gegründet, die sich schon kennen und da halt miteinander
arbeiten, um das Problem schnellstmöglich oder den Inzidenz schnellstmöglich zu lösen.
Und genau diese Gruppen, die unterscheiden sich auch nochmal in dem Level der Formalität.
Das heißt, manche Gruppen sind sehr formell, basieren auf Legal Frameworks oder
NDAs, wo halt festgelegt wird, wer teilt, wie, welche spezifischen Standards und so weiter.
Und in den formellen Gruppen ist das alles eher go with the flow.
Also normalerweise sind das einfach ganz kleine Gruppen und da mit einer hohen
Reife. Das heißt, die Leute wissen, wie sie teilen müssen.
Und da geht es natürlich auch viel um Kontext. Und da haben wir auch festgestellt,
dass je nach Gruppenart man mit gewissen Arten von Information oder CTI rechnen kann.
Also normalerweise in einer größeren Gruppe ist eher moderates Sharing,
also es wird immer weniger geteilt, umso größer die Gruppe ist und auch eher
automatisch generierte Daten, kein wirkliches Intelligence.
Und umso kleiner die Gruppe wird, umso höher ist in der Regel die Qualität,
umso höher ist der Kontext, das heißt, die Leute wissen, was erwartet wird,
was brauchen die anderen.
Genau, das heißt, offene, geschlossene Gruppen, spezifische Themengruppen und
der Level der Formalität unterscheidet sich da.
Und es gibt halt auch noch die Hidden Clubs, von denen wissen in der Regel nur
die Personen, die wirklich aktiv Teil der Gruppe sind.
Und in so einen Hidden Club kommt man eigentlich nur durch ein Netzwerk rein.
Also das heißt, wenn man bestimmte Leute kennt, die vertrauen einem,
dann gibt es die Möglichkeit, dass die anderen Mitglieder der Gruppe halt für
den Eintritt des Neuen oder der Neuen abstimmen.
Oder die Person, die die neue Person einlädt, halt ein Vouching machen muss, also da wirken muss.
Und das heißt, diese kleinen Gruppen, von denen keiner kennt,
das sind wirklich die Gruppen, wo die wertvollen Sachen geteilt werden.
Robert1: Du hast noch einen sehr, sehr interessanten Punkt angesprochen und du hast gesagt,
Robert1: incidentbasierte Gruppen.
Robert1: Welchen Grund kann es haben, so eine incidentbasierte Gruppe aufzumachen?
Robert1: Also jetzt mal ganz einfach gedacht, ich werde gerade angegriffen Und mache
Robert1: ich dann zum Beispiel so eine incidentbasierte Gruppe auf und wenn ja, wieso?
Robert1: Weil ich vielleicht irgendwelche Netzwerkübergänge habe, weil ich sage,
Robert1: das sieht so aus, als wäre das ein Angriff auf eine komplette Branche und ich
Robert1: will, dass andere verschont bleiben.
Robert1: Was sind da so die Hintergründe, so eine incidentbasierte Community aufzumachen?
Genau, also klar, ein Grund ist natürlich, es könnte was Branchen-spezifisches sein.
Das heißt, man will da mit Leuten zusammenarbeiten, die auch in dem gleichen Bereich arbeiten.
Natürlich ist auch ein Gedanke der gemeinnützige Gedanke. Das heißt,
man möchte den Leuten helfen.
Vielleicht ist es gerade ein Unternehmen, das gar nicht sich selber helfen kann.
Und die fragen jetzt an, in einer größeren Community gibt es da jemanden,
der das beobachtet hat in ihren Netzwerken oder der Best Practice kennt oder
